XDR ist derzeit eines der „heißen“ Themen in der Cyber Security: Anbieter überschlagen sich in neuen Lösungen und Angeboten, und wie so oft wird die neue Technologie als der Heilsbringer schlechthin dargestellt. Grund genug, sich einmal die Hintergründe anzuschauen und zu beleuchten, wo die Grenzen zu bzw. die Möglichkeiten mit traditionellen SIEMs wie Splunk Enterprise Security liegen.

Bis vor ca. 10 Jahren wurde der Schutz von Endpoints – also Workstations, Notebooks und Servern – bestimmt durch die sogenannten Endpoint Protection Platforms (EPP). Diese Lösungen schützen gegen Malware mit Hilfe von Signaturen aus entsprechenden Datenbanken und sperren oder erlauben Applikationen, Ports und Ziel-Adressen mit Black- oder Whitelists. Die Sammlung der Daten von den einzelnen Endpoints erfolgt dann oft in einer cloud-basierten Umgebung, auf welche die Analysten bei Bedarf zugreifen können.

Basierend auf den EPP entwickelte sich dann gegen 2013 die Endpoint Detection und Response (EDR), die weitere Funktionen erlaubte wie die Unterstützung der Analysten bei der Erkennung relevanter Indicator of Compromise (IoC) oder die Einbindung von Threat Intelligence Informationen. Real-time-Alarmierungen unterstützen die Analysten ebenso wie Funktionen für forensische Untersuchungen. Ein wichtiges Kriterium ist hier auch die automatische Beseitigung der erkannten Störungen z.B. durch das Isolieren oder Löschen kompromittierter Dateien. Parallel zur EDR entwickelte sich dann auch die Network Detection and Response (NDR), um nicht nur die Endpoints selbst zu schützen und zu überwachen, sondern auch die Netzwerkinfrastruktur, welche die Endpoints verbindet.

XDR ist die bisher neueste Stufe dieser Entwicklung, bei der vollständig automatisierte Detection and Response ebenso im Fokus steht wie die gemeinsame Nutzung der Daten von den Endpoints, aus dem Netzwerk, aus der Cloud und z.B. EMail-Systemen. Hier werden also die wichtigsten Bereiche in einer Lösung zusammengeführt. Das X in dem Akronym wird unterschiedlich interpretiert:

• X für eXtended EDR oder EDR++
• X für mehrere Layer oder mehrere Produkte
• X als Variable für beliebige Datenquellen wie Endpoints, Netzwerk, Cloud, E-Mail

Für die Implementierung des XDR-Konzeptes gibt es verschiedene Ansätze:

• Das sogenannte native XDR ist oft ein Produkt eines einzigen Anbieters, der eine komplette XDR-Lösung mit allen Aspekten wie Endpoint Security, Network Security, Cloud Security und EMail Security basierend auf einem eigenen Datenpool anbietet und dabei Methode wie Threat Intelligence, Machine Learning und Automated Response nutzt. Zahlreiche der bekannten Anbieter im Security-Umfeld wie Microsoft, Cisco, Fortinet, Sophos oder Trend Micro haben hier schon eigene Lösungen am Start.
• Beim alternativen Open XDR oder Hybrid XDR senden die Security-Produkte verschiedener Anbieter ihre Daten in einen zentralen Datenpool, auf den z.B. ein SIEM (Security Incident and Event Management), eine UEBA-Lösung (User and Entity Bahavior Analytics) sowie Methoden wie Machine Learning oder SOAR (Security Orchestration, Automation and Response) zugreifen. Das XDR ist dann ein weiterer Layer in dem jeweiligen System. Auch in diesem Bereich haben einige Anbieter Lösungen im Angebot wie z.B. SentinelOne, Exabeam oder McAfee.

Wenn wir diese beiden Ansätze vergleichen, können wir folgende Aspekte untersuchen:

Wie so oft in der IT, die Antwort lautet: it depends. Schauen wir uns ein paar typische Aussagen zu der Frage an, wie sich XDR und SIEM positionieren:

• XDR ist der Tod traditioneller SIEMs
• XDR werden SIEMs nicht ersetzen, es sind einfach unterschiedliche Tools
• XDR ist kein SIEM. Es kann damit zusammen arbeiten, aber im Grunde sind XDR erweiterte EDR-Lösungen.
• XDR ist nur ein Marketing-Begriff, der leicht modifizierten EDR-Tools zu mehr Umsatz verhelfen soll
• XDR ist ein sexy Name, unter dem ein EDR-Anbieter versucht, seine Lösung als SIEM zu verkaufen
• XDR können ggf. verwendet werden, um Daten von Endpoints, aus dem Netzwerk, aus der Cloud in das SIEM zu schicken
• XDR können viele Dinge nicht, die ein SIEM sehr wohl kann, z.B. Daten für lange Zeit speichern und Compliance Regeln erfüllen

Wir wollen die einzelnen Aussagen hier nicht im Detail diskutieren, aber wir sehen schnell, dass es offensichtlich sehr verschiedene Bewertungen gibt.

Das sind die Punkte, die einige native XDR-Anbieter als Vorteile gegenüber traditionelle SIEM propagieren:

• Verbesserte Produktivität der SOC-Analysten durch genauere Detection
• Eingebaute Automation
• Konsolidierung der Security-Tools in einer einzigen Lösung
• Reduzierte Komplexität im Vergleich zu einzelnen Security-Lösungen
• Leichtere Wartung

Wenn wir diesen Ansätzen ein traditionelles SIEM wie Splunk Enterprise Security (ES) gegenüberstellen werden wir sehen, dass einige Aspekte der XDR wie zentrale Sammlung der Daten von Endpoints, Netzwerk, Cloud oder EMail schon seit Jahren in Splunk vorhanden sind. Zusätzliche Komponenten wie Splunk Phantom (SOAR) für die erweiterten Möglichketen einer automatisierten Response oder Splunk UEBA für die detaillierte, auf Machine Learning basierende Auswertung der Aktivitäten auf den Endpoints decken weitere Funktionen der XDR-Konzepte ab.

Ist Splunk ES damit eine XDR-Lösung? Nein, zumindest nicht dann, wenn man der Definition  z.B. von Gartner folgt:  … a SaaS-based, vendor-specific, security threat detection and incident response tool that natively integrates multiple security products into a cohesive

security operations system that: unifies all licensed security components [1]. Diese Definition zielt sehr darauf ab, dass alles aus der Hand eines Anbieters kommt. Splunk hingegen bezieht seine Stärke u.a. aus der Anbindung aller nur denkbaren Datenquellen verschiedenster Hersteller sowie aus dem Eco-System von Partner, welche mit ihren Beiträgen Splunk zum Erfolg verhelfen.

Ich glaube nicht, dass XDR-Lösungen in absehbarer Zeit die traditionellen SIEMs wie Splunk Enterprise Security ablösen werden. Eine nach Best Practices aufgebautes Splunk ES kann schon lange fast alles, was die Anbieter der XDR-Systeme als Neuerung anpreisen, und Splunk ES kann noch viel mehr:

• Die Nutzung von Splunk Cloud reduziert den Wartungsaufwand der Kunden auf ein Minimum
• Automatisierung erfolgt entweder mit Bordmitteln von Splunk Core und Splunk ES, oder für anspruchsvolle Szenarien mit Phantom
• Machine Learning entweder in Splunk Core und ES, oder für erweitere Anforderungen mit UBA sorgen für automatische Erkennung von Anomalien auf allen Ebenen
• Die Implementierung eines Risk Based Alerting (RBA) trägt erheblich zur Reduzierung der False Positives und damit zur Entlastung der Analysten bei
• Die Konsolidierung zahlreicher Security-Tools in einer Oberfläche bietet ES schon immer, in Zukunft mehr und mehr ergänzt durch Splunk Mission Control als übergreifende, cloud-basierende Benutzeroberfläche
• Splunk erfüllt Use Cases wie Fraud Detection oder auf Compliance-Anforderungen basierende Use Cases, die oft von XDR-Lösungen nicht abgedeckt werden können
• Splunk auch alle anderen Datenquellen für Security-Anwendungen nutzen, z.B. Daten von Kartenlesern, Türsteuerungen oder Sensoren aller Art, die auch sicherheitsrelevante Informationen bieten können

Für kleinere Organisationen, die ganz am Anfang ihrer Security Maturity stehen, die also die ersten Schritte mit Cyber Security Systemen machen, kann ein XDR einen guten und schnellen Einstieg in das Thema darstellen. Der geringe Aufwand für die Implementierung und das starke, automatisierte Filtern der Indicator of Compromise (IoC) mit geringem manuellem Aufwand für das Nachverfolgen der Incidents erscheint attraktiv. Wenn die Organisation die Bindung an einen einzigen Anbieter als „Black Box“ sowie einen begrenzten Wirkungsbereich akzeptiert, dann sollte sich das Unternehmen von möglichen XDR-Lösungen im Pre-Sales-Prozess die folgenden Punkte genau aufzeigen lassen:

• Welche Daten tragen zum Lagebild der Informationssicherheit bei?
• Welche Use Cases werden Out oft he Box abgedeckt, wie können weitere UCs implementiert werden?
• Wie können Informationen über Assets und Identities abgebildet werden?
• Wie können kundenspezifische Threat Intelligence Daten integriert werden?

Größere Organisationen mit sehr detaillierten Anforderungen an die Security Use Cases, oder auch solche mit bereits existierenden Security-Tools wie EDR, IPS, Vulnerability Scanning, Anti Malware etc. sind hingegen ziemlich sicher mit einem SIEM wie Splunk Enterprise Security gut beraten. Diese Organisationen können vermutlich ihre Ziele mit einem XDR nicht erreichen, oder sie werden das Investment in bestehende Security Infrastruktur nicht über Bord werfen, um ein XDR mit eingeschränktem Funktionsumfang zu implementieren. XDR kann dabei als erweitertes EDR eine sinnvolle Datenquelle und Ergänzung zum SIEM sein.

Getreu dem Motto dieses Artikels: Splunk ES + XDR – better together.

[1] Lawson, Craig, and Firstbrook, Peter: Innovation Insight for Extended Detection and Response. Gartner, refreshed April 2021